EU Secret Management Comparison Finale 2026: HashiCorp vs Doppler vs CyberArk Conjur vs 1Password

Post #1262 — Abschluss der sota.io EU Secret Management Serie (5/5)

Die EU-SECRET-MGMT-Serie ist abgeschlossen. In vier Einzelanalysen haben wir HashiCorp Vault Enterprise (IBM/Red Hat Delaware, CLOUD Act 18/25), Doppler (Delaware C-Corp San Francisco, YC S19, CLOUD Act 15/25), CyberArk Conjur (NASDAQ:CYBR US-Tochter Delaware/Newton MA, CLOUD Act 18/25) und 1Password Secrets Automation (AgileBits Inc. Toronto Ontario Canada, Five Eyes, CLOUD Act 14/25) untersucht.

Dieser Finale-Post fasst zusammen: Welche Plattform weist das höchste GDPR-Risiko auf, was unterscheidet die vier Anbieter strukturell, und wann sind EU-native Lösungen wie Infisical, OpenBao und Bitwarden Secrets Manager die bessere Wahl?

Warum Secret Management für EU-Compliance kritisch ist

Secret Management Tools klingen nach rein technischen Werkzeugen — API-Keys rotieren, Datenbankpasswörter verwalten, TLS-Zertifikate ausstellen. Aus DSGVO- und Souveränitätssicht sind Secret Vaults jedoch eine der sensibelsten Kategorien von Drittanbieter-Software überhaupt — aus einem fundamentalen strukturellen Grund:

Der Vault ist der Schlüssel zu allem anderen. Ein kompromittierter Secret Manager exponiert nicht einzelne Datensätze wie eine Datenbank oder einzelne Dokumente wie ein CRM. Er exponiert die Zugangsdaten zu allen anderen Systemen: Datenbankpasswörter, Cloud-Provider-Credentials, CI/CD-Tokens, Kubernetes Service Accounts, TLS-Zertifikate, OAuth-Client-Secrets. Eine einzige CLOUD Act Anfrage an den Secret-Management-Anbieter gibt US-Behörden potenziell Zugang zur gesamten digitalen Infrastruktur.

Das DevSecOps-Paradox: Moderne DevSecOps-Praktiken zentralisieren Secrets im Vault, um das Risiko von hardcoded Credentials zu eliminieren. Das ist die richtige Architekturentscheidung — aber sie erzeugt gleichzeitig einen einzelnen hochkarätigen Angriffspunkt. Wenn dieser Vault-Anbieter unter CLOUD Act Jurisdiktion steht, ist die Zentralisierung von Sicherheitsvorteil zum Souveränitätsrisiko geworden.

NIS2, CRA und DORA verschärfen die Pflichten: Ab 2024/2025 müssen EU-Unternehmen unter NIS2 (Art.21(2)(e): Sicherheit bei der Entwicklung und Beschaffung), CRA (Art.13: SBOM und Build-Secrets-Management) und DORA (Art.9: ICT Security Incident Response + Art.28: Third-Party ICT Risk Register) ihre Secret-Management-Infrastruktur aktiv dokumentieren und bewerten. "Wir nutzen einen US-SaaS-Vault" ist keine ausreichende Risikoeinschätzung mehr.

Die rechtliche Grundlage: CLOUD Act 18 U.S.C. § 2713 verpflichtet US-Provider, Daten herauszugeben, wenn die US-Behörde einen gültigen Beschluss vorlegt — unabhängig vom Speicherort. Für CyberArk gilt zusätzlich: Das Unternehmen hat FedRAMP ATO (US Federal Risk and Authorization Management Program), was direkten US-Government-Kontext belegt. Für 1Password gilt: Canada ist Five Eyes Partner — PIPEDA-Adequacy nach GDPR Art.44 bedeutet nicht, dass canadische Behörden keine Datenweitergabe an US-Partner betreiben.

CLOUD Act Matrix: Alle vier im direkten Vergleich

Die CLOUD Act Matrix bewertet fünf Dimensionen je 0–5 Punkte. Höhere Punkte bedeuten höheres GDPR-Risiko für EU-Unternehmen:

D1 — Inkorporierung und Eigentümerstruktur:

• HashiCorp (5/5): HashiCorp Inc. Delaware C-Corp, akquiriert von IBM Corporation (Armonk NY) für 6,4 Mrd. USD (Dezember 2023). IBM Red Hat Inc. Delaware. Doppelte US-Konzernzugehörigkeit — die vollständigste US-Jurisdiktion der Serie.
• Doppler (5/5): Delaware C-Corp + Sequoia Capital, Thrive Capital, CRV (alle US-VC). San Francisco HQ. Klassische US-VC-PE-Struktur ohne EU-Anker.
• CyberArk (4/5): CyberArk Software Ltd. israelische Muttergesellschaft (Petah Tikva), aber CyberArk Software Inc. Delaware C-Corp + Newton MA HQ. Die US-Tochter ist der Cloud-Act-pflichtige Betreiber von Conjur Cloud.
• 1Password (3/5): AgileBits Inc. Ontario Canada Corporation — nicht Delaware, nicht US-Corp. Canada ist technisch kein CLOUD Act Staat (USA PATRIOT Act / CLOUD Act gelten nur für US persons). Minus-Punkte bei D1 wegen Canada-Inkorporierung statt US.

D2 — Government-Beziehungen und Intelligence-Exposure:

• CyberArk (4/5): FedRAMP ATO dokumentiert. Conjur Enterprise: aktiv im US Federal/IC Bereich genutzt (PAM für privileged access, Conjur für Machine Secrets). Unternehmensgründer: Udi Mokady und Alon Cohen — israelische Militärintelligence-Hintergrund (IDF/8200). Dual-HQ-Struktur mit explizitem US-Government-Engagement.
• HashiCorp (3/5): IBM-Übernahme bedeutet IBM Government Cloud Exposure. HashiCorp Vault: kein eigenes FedRAMP, aber IBM Cloud for Government (FedRAMP High) kann Vault-Dienste einschließen. IBM hat signifikante DoD- und Intelligence-Community-Verträge.
• 1Password (3/5): AgileBits Canada = Five Eyes Partnerstaat. CSE (Communications Security Establishment) Canada ist UKUSA-Mitglied. CSEC → NSA Datentausch unter Five Eyes belegt in Snowden-Dokumenten. PIPEDA-Adequacy-Entscheidung (GDPR Art.44) adressiert kommerziellen Datenschutz, nicht Nachrichtendienst-Sharing.
• Doppler (2/5): Keine dokumentierten Government-Cloud-Verträge. YC S19 + VC-backed, klassisches B2B-SaaS ohne Sicherheitsbehörden-Exposure.

D3 — Sensitivität der verarbeiteten Daten: Dieser Dimension bekommen alle vier Anbieter 5/5. Der Grund ist die bereits beschriebene strukturelle Eigenschaft von Secret Management: Wer die Vault-Daten hat, hat Zugangsdaten zu allen anderen Systemen. Database credentials, API keys, TLS private keys, OAuth client secrets, Kubernetes service account tokens — der Datentyp ist universell hochsensitiv, unabhängig vom Anbieter.

D4 — Geografische Datenspeicherung:

• HashiCorp (3/5): HCP Vault (HashiCorp Cloud Platform) läuft auf AWS. EU-Regionen (Frankfurt, Dublin) verfügbar, aber IBM-Konzernzugehörigkeit bleibt. Vault Enterprise Self-Hosted: 0 Geo-Risiko wenn on-premise.
• CyberArk (3/5): Conjur Cloud auf AWS/Azure. EU-Regionen verfügbar, aber US-Betreiberentität (CyberArk Software Inc. Delaware) bleibt verantwortlich.
• Doppler (2/5): GCP Multi-Region. EU-Option vorhanden, aber San Francisco Hauptstandort dominiert operative Kontrolle. Keine Transparenz über encryption-at-rest mit customer-managed keys (CMEK).
• 1Password (2/5): AWS US-primary für Secrets Automation. 1Password Connect: self-hosted möglich. SaaS-Variante hat eingeschränkte EU-Geo-Garantien.

D5 — Compliance-Zertifizierungen:

• HashiCorp (2/5): ISO 27001, SOC 2 Typ II. Kein FedRAMP für HCP Vault; IBM-Konzerndach hilft hier nicht direkt.
• CyberArk (2/5): SOC 2 Typ II, ISO 27001. FedRAMP ATO für CyberArk Privileged Access Manager, nicht spezifisch für Conjur Cloud.
• Doppler (1/5): SOC 2 Typ II. Kein ISO 27001, kein FedRAMP. Relativ junges Startup (2019) mit basalem Compliance-Level.
• 1Password (1/5): SOC 2 Typ II. Kein ISO 27001 Business-Zertifizierung für Secrets Automation (Secrets Automation ist neueres Produkt-Layer auf 1Password-Kern).

Strukturelle Risikounterschiede: Was die Scores nicht zeigen

Die CLOUD Act Matrix erzeugt quantitative Vergleichbarkeit, aber die qualitativen Unterschiede sind ebenso bedeutsam:

Das IBM-Integrations-Paradox (HashiCorp 18/25): HashiCorp Vault war als OpenSource-Projekt geboren — MPL 2.0-Lizenz, Community-getrieben. Seit dem BSL-Lizenzwechsel 2023 und der IBM-Übernahme 2023 ist Vault Enterprise ein klassisches Enterprise-Produkt unter US-Konzernkontrolle. Das Paradox: Die Open Source Version (OpenBao, Linux Foundation Fork von HashiCorp Vault) hat 0/25 CLOUD Act Score, weil Self-Hosted auf EU-Infrastruktur keine US-Jurisdiktion erzeugt. IBM hat durch den Kauf eine Community-Vault-Architektur in ein US-Konzern-Produkt verwandelt.

Das Enterprise DevOps Secrets Paradox (CyberArk 18/25): CyberArk ist der einzige Anbieter der Serie, der PAM (Privileged Access Management für menschliche Credentials) UND DevOps Machine Secrets (Conjur) in einer Plattform vereint. Das erzeugt ein multiplikatives Risiko: Eine einzige CLOUD Act Anfrage kann gleichzeitig menschliche Session-Recordings (PAM), Passwort-Vaults für Admins (PAM) und alle Machine Secrets (Conjur) umfassen. Kein anderer Anbieter hat diese konzentrierte Dual-Exposure.

Das VC-Startup-Risiko (Doppler 15/25): Doppler ist der jüngste Anbieter der Serie (gegründet 2019, YC S19). Bei VC-backed Startups besteht ein strukturelles Exit-Risiko: Sequoia Capital, Thrive Capital und CRV haben Renditeerwartungen. Ein Doppler-Verkauf an einen größeren US-Konzern (z.B. HashiCorp-Stil IBM-Exit) würde den CLOUD Act Score automatisch erhöhen. Kunden, die heute Doppler-Produkte als "kleineres" US-Risiko einordnen, müssen bei einem solchen Exit ihre Risikoanalyse neu erstellen.

Das Five Eyes Adequacy Paradox (1Password 14/25): 1Password ist der einzige Anbieter der Serie mit niedrigstem CLOUD Act Score — weil Canada kein CLOUD Act Staat ist. GDPR Art.44 Adequacy-Entscheidung für Canada (PIPEDA) gilt für kommerzielle Datentransfers. Sie schließt Intelligence-Sharing unter Five Eyes UKUSA Agreement nicht aus. Die praktische Frage: Würde ein EU-Datenschutzaufsichtsbehörde einen Transfer von CI/CD-Secrets nach Canada akzeptieren, wenn bekannt ist, dass CSE (Canada) routinemäßig mit NSA Daten teilt? Die EDPB-Leitlinien zu Art.44 Adequacy-Entscheidungen nach Schrems II legen nahe: Wenn Massenüberwachung dokumentiert ist, reicht die Adequacy-Entscheidung allein nicht aus.

NIS2, CRA und DORA: Konkrete Pflichten für Secret Management

NIS2 Art.21(2)(e) — Sicherheit bei der Entwicklung und Beschaffung: NIS2-pflichtige Unternehmen (kritische und wichtige Einrichtungen, ca. 160.000 EU-Unternehmen ab Oktober 2024) müssen Maßnahmen zur "Sicherheit bei der Entwicklung, Beschaffung und Wartung von Netz- und Informationssystemen" nachweisen. Secret Management ist Kern-DevSecOps — CI/CD-Secrets, API-Keys, Build-Credentials. Ein US-Vault-Anbieter mit CLOUD Act Score 15–18/25 erfordert eine nachweisbare Risikoanalyse und Transferfolgenabschätzung (TFA, analog GDPR Art.44–46).

CRA Art.13 — SBOM und Build-Secrets: Der Cyber Resilience Act (CRA, in Kraft ab 2027) fordert für Produkte mit digitalen Elementen unter Art.13 eine Software Bill of Materials (SBOM) und sichere Build-Prozesse. Build-Secrets (Signing Keys, Registry Credentials, Build-API-Keys) sind direkt betroffen. Wer HashiCorp HCP Vault oder Doppler für Build-Secrets nutzt, hat diese Credentials in einem US-SaaS-System — was die CRA Art.13-Konformität erschwert: Die SBOM-Signierkeys könnten per CLOUD Act-Beschluss kompromittiert werden.

DORA Art.9 und Art.28 — ICT Security und Third-Party Risk: DORA (Digital Operational Resilience Act, ab 17. Januar 2025 gültig) gilt für Finanzunternehmen und ihre ICT-Dienstleister. Art.9: ICT Security muss Incident-Response-Fähigkeiten für den Verlust von Secrets einschließen. Art.28: ICT-Drittanbieter-Risikomanagement fordert ein vollständiges Register aller kritischen ICT-Drittanbieter mit Risikoeinschätzung. Ein Conjur-Cloud-Eintrag im DORA Art.28-Register muss die CLOUD Act 18/25-Exposition und das beschriebene PAM+Secrets Dual-Exposure dokumentieren.

EU-native Alternativen: Vier Pfade zu 0/25

Infisical — OSS Self-Hosted (0/25): Infisical (GitHub: infisical/infisical, MIT-Lizenz) ist die modernste EU-selbst-gehostete Alternative. YC W23 — das Unternehmen Infisical Inc. ist US-Inc., aber die Self-Hosted Open Source Version erzeugt keine US-Jurisdiktion. Features: Kubernetes-native, CI/CD-Integrationen (GitHub Actions, GitLab CI, CircleCI), dynamic secrets, secret versioning, audit logs. Für Teams, die einen modernen Doppler-ähnlichen UX-Stack wollen, ist Infisical Self-Hosted die direkteste Migration.

OpenBao — HashiCorp Vault Fork (0/25): OpenBao (GitHub: openbao/openbao, MPL 2.0) ist der Linux Foundation Fork von HashiCorp Vault nach dem BSL-Lizenzwechsel. Vollständige API-Kompatibilität mit Vault, sodass bestehende Vault-Integrationen ohne Anpassungen weiter funktionieren. Für Unternehmen, die bereits Vault-Agents, Vault Injector für Kubernetes oder Vault Provider für Terraform einsetzen, ist OpenBao der direkteste Pfad zu 0/25. Linux Foundation Governance = kein US-Konzerneinfluss.

Bitwarden Secrets Manager — OSS mit EU Self-Hosted Option (0/25): Bitwarden Secrets Manager (GitHub: bitwarden/sm-kubernetes) ergänzt Bitwarden Password Manager um einen programmatischen API-Zugang für CI/CD und DevOps. Bitwarden Inc. ist zwar US-Corp, aber die vollständig Open Source Self-Hosted Version (Bitwarden Server auf eigenem Kubernetes/Docker) erzeugt keine US-Jurisdiktion. Vorteil: Viele EU-Unternehmen nutzen Bitwarden bereits für Human Secrets (Passwortmanager) — der Wechsel zu Bitwarden Secrets Manager bedeutet Konsolidierung auf einem einzigen Stack.

Conjur OSS — CyberArk Open Source Fork (0/25): Conjur Open Source (GitHub: cyberark/conjur, Apache 2.0) ist die Community-Edition von CyberArk Conjur — kein SaaS, kein US-Betreiber, reine Self-Hosted Lösung. Für Unternehmen, die bereits CyberArk PAM nutzen und Conjur als Machine-Secrets-Layer testen, bietet Conjur OSS Self-Hosted auf EU-Infrastruktur 0/25 CLOUD Act Score bei maximaler CyberArk-API-Kompatibilität.

EU-native Stack-Empfehlung nach Anwendungsfall

Entscheidungsrahmen für CISOs: Vier Fragen

Wenn ihr aktuell einen US-Vault-Anbieter nutzt oder evaluiert, beantworte vier Fragen:

1. Welcher Anbieter ist euer Secret-Management-Anbieter? Wenn die Antwort HashiCorp, Doppler, CyberArk Conjur Cloud oder 1Password Secrets Automation SaaS ist: Ihr habt EU-produktionskritische Credentials bei einem CLOUD Act-pflichtigen Betreiber.

2. Welchen CLOUD Act Score hat euer Anbieter? CyberArk 18/25 und HashiCorp 18/25 sind die höchsten Risiken der Serie. Doppler 15/25 und 1Password 14/25 sind geringere, aber weiterhin signifikante Risiken.

3. Habt ihr eine Transfer Risk Assessment (TRA) für euren Vault? Nach Schrems II (EuGH C-311/18) und EDPB-Empfehlung 01/2022 reichen Standardvertragsklauseln (SCCs) allein nicht aus, wenn der Anbieter unter faktischen Gesetzen steht, die SCCs aushöhlen. CLOUD Act 18 U.S.C. § 2713 ist genau ein solches faktisches Gesetz. Die TRA muss dies adressieren.

4. Was wäre der Impact wenn euer Vault-Anbieter einen CLOUD Act Disclosure vornimmt? Für die meisten Unternehmen: Vollständiger Zugang zu allen Produktionssystemen für eine US-Behörde. Wenn diese Antwort inakzeptabel ist, ist der einzige technische Ausweg EU-Self-Hosted mit EU-Betreiber und CMEK.

Gesamtbewertung der EU-SECRET-MGMT-Serie

Die fünf Posts der EU-SECRET-MGMT-Serie haben vier Produktkategorien analysiert: Enterprise-Vault-SaaS (HashiCorp Vault Enterprise), Developer-SaaS (Doppler), PAM+Secrets (CyberArk Conjur), und Password-Manager-Extension (1Password Secrets Automation). Das Ergebnis ist konsistent: Alle vier haben einen CLOUD Act Score zwischen 14 und 18 von 25, und alle vier verarbeiten den Datentyp mit der höchsten möglichen GDPR-Sensitivität (D3=5/5) — die Zugangsdaten zu eurer gesamten Infrastruktur.

Die EU-nativen Alternativen (Infisical, OpenBao, Bitwarden SM, Conjur OSS) erreichen alle 0/25 — und sind technisch ausgereift genug für Enterprise-Produktionsumgebungen. Die Migration von einem US-SaaS-Vault zu einer Self-Hosted EU-Alternative ist in der Regel ein Migrations-Sprint von 2–4 Wochen, nicht ein Multi-Jahres-Projekt.

Unter NIS2, CRA und DORA ist die Frage kein "ob" mehr, sondern "wann und wie": Jedes EU-Unternehmen mit Secret-Management in US-SaaS-Vaults muss diese Infrastruktur in sein Risikoregister aufnehmen, bewerten und — wenn die Risikoeinschätzung das ergibt — migrieren.

Dies ist Post #1262 und Abschluss der sota.io EU Secret Management Serie (5/5). Die vorherigen Posts analysierten HashiCorp Vault Enterprise (18/25), Doppler (15/25), CyberArk Conjur (18/25) und 1Password Secrets Automation (14/25).